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TI - Protecting data passing between data processing device and terminal device 
connected via telecommunications network - involves using code stored in a 
security module in each device for mutual authentication before commencing 
the transfer of data and integral data protection using message authentication 
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The method involves using a code stored in a security module in each device 
for mutual authentication before commencing the transfer of data. Each code 
represents keys within an algorithm which processes random data fed to the 
terminal or data processor; the results of the processing are fed back to the data 
processor or terminal. 

The data are integrally protected when the code arrives, is stored in the 
terminal and transmitted using a message authentication code or MAC with the 
aid of algorithms and keys in each security module. Secure counters in the 
security modules perform additional monitoring of the data protected by the 
MAC. 

USE/ AD VANTAGE - Esp. for card telephone. Unauthorised influence of the 
data being transferred and the stored data are prevented. (Dwg.3/3) 
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Prufungsantrag gem. § 44 PatG ist gestelit 

@ Verf ahren und Anordnung zur Sicherung von Daten 

@ Bei einem Verfahren und einer Anordnung zur Sicherung 
von Daten im Varkehr zwischen einer Datenverarbeitungs- 
einrichtung und einem Endgerat, die miteinander uber ein 
Telekommunikationsnetz verbunden sind, erfoJgt vor der 
Aufnahme der Obertragung von Daten eine gegenseltlge 
Authentifikation unter Veruvendung von in jeweils einem 
Sicherheitsmodul in der Datenverarbeitungselnrichtung und 
im Endgerat gespelcherten Codes. 
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.^HL Speicherung im^PPgerat und Obertragung durch 



Nachrichten-Authentifikations-Codes (MAC) mit Hilfe 
Die Erfindung betrifft ein Verfahren und eine Anord- von in den jeweiligen Sicherheitsmodulen abgdegten 
nung zur Sichening von Daten im Verkehr zwischen Algorithmen und Schlflssdn mtegntatsgesichert wer- 
einerDatenverarbeitungseinrichtungundeinem Endge- 5 den. . ' , , j c- u j 

rat die miteinander uber ein Telekommunikationsnetz Eine weitere Verbesserung^ der Sicherung dw^zu 
verbundensind. abertragenden Daten 1st bei dem erfmdungsgemaBen 

le erSfier und komplexer Telekommunikationsnetze Verfahren dadurch mSglich, daB Zahler in den Sicher- 
mit den daran angeschlossenen Einrichtungen sind und heitsmpdulen gesichert geftthrt werden, die erne zusatz- 
je mehr Kommunikationspartner untereinander Daten 10 Bche KontroUe der durch die Nachrichten-Authentif ika- 
austauschen.umsogr6BerwirddieGefahr,daBentwe- tions-Codesgesicherten Daten ergeben. 
der unberechtigte Personen sich Zugang verschaffen Die der Erfindung zugrundeh^ende Aufgabe wird 
Oder berechtigte Personen (beispielsweise die Betreiber bei einer gattungsgemaflen Anordnimg dadurch gelost, 
einer KommunikationssteUe) vorsatzlich oder unge- daB in der Datenverarbeitungsemnchtung und un End- 
woUt unzuiassige Einstellungen vomehmen. Deshalb 15 gerat Sicherheitsmodule vorgesehen smd,^m welchen 
sind Daten einschUeBlich derjenigen Daten, welche Pro- Codes zur gegenseitigen Authentrfikation ablegbar smd. 
gramme betreffen, sowohl wahrend der Obertragung Eine Weiterbildung der erfindungsgemaBen Anord- 
als auch wShrend der nachfolgenden Speicherung gegen nung besteht darin, daB in den Sicherheitsmodulen f er- 
Veranderungenzuschfltzea ner Codes zur Sicherung der Integntat und Authentizi- 

Bei einer Datenflbertragungist esdahererforderUch, 20 tat der zuQbertragenden Daten ablegbar smd. Vorzugs- 
daB sich beide Partner von der Authentizitat des jeweiJs weise ist dabei vorgesehen. daB die Sicherheitsmodule 
anderen Partners Qberzeugen, um zu verhindem, daB femladbar ausgebUdet sind. Dies hat den Vorteil, daB 
unberechtigte Kommunikationsparmer sensitive Daten die Codes in den Sdierheitsmodulen bet Bedarf geto- 
erhalten oder manipulierte Daten eingeben. Femer ist dert werden kannen, ohne daB an den Sicherheitsmodu- 
es erforderiich, daB in EndgerSten eines Teiekommuni- 25 »en selbst durch geeignetes Personal Arbciten durchge- 
kationsnetz es Veranderungen an sensitiven Daten fuhrt werden mflssea \ 
durch Unbefugte erkannt werden. Bei einer anderen Weiterbildung der erfmdungsge- 

Aus DE 42 26 617 Al ist ein Verfahren und eine An- . maBen Anordnung sind als Sicherheitsmodule, Chipkar- 
ordnung zur wahlweisen Anschaltung von Ober maschi- ten in Form von Emschubmodulen vorgesehen. Dieses 
nenlesbaren Karten betriebenen Endgeraten bekannt 30 hat den Vorteil, daB die bereits auf Chipkarten imple- 
Dabei erhalten diese Endgerite (Kartentelefbne) de fOr mentierten FunktionaUtaten in emf acher Weise fur das 
den Betrieb erforderlichen Daten und Programme Qber er&ndungsgemaBe Verfahren oder bei der erfmdungs- 
eme Datenverarbeitungseinrichtung und das Telekom- gemSBen Anordnung benutzt werden komien. 
munikationsnetz. Die Endgerate Qbertragen auch Daten EMe Erfindung ist an sich fOr verschiedeiwrtige End- 
zur Datenverarbeitungseinrichtung. Bei diesembekann- 35 gerate geeighet Eine besonders vorteUhafte Anwen- 
ten Verfahren sind die ubertragenen Daten nicht gegen dung besteht jedoch dann, daB das Endgerat em Kar- 
Manipulation gesichert AuBerdem besteht nach der tentelefon ist ...^ -.-j 

Entstehung und bei der Speicherung der Daten die Ge- Em Ausfuhrungsbeispiel der Erfindung 1st m der 
fahr, daB manipulierte Daten bei dem jeweiUgen Emp- Zeichnung anhand mehrerer Figuren dargestellt und m 
fanger nicht erkannt werden. 40 der nachfolgenden Beschreibung naher erlautert Es 

■ Auf gabe der Erfindung ist es daher, im Verkehr zwi- zeigt . . . . ....^ . - j -o » 

schen einer Datenverarbeitungseinrichtung und einem Fig. 1 ein Blocksdialtbild emer erfindungsgemaBen 
Endgerat die nuteinander flber dn Telekommunika- Anordnung, ^ , . 

tionsnetz verbunden sind. eine unberechtigte EinfluB- Fig. 2 ein Ablaufdiagramm zur Erlauterung der Au- 
nahme auf die zuQbertragenden und auf die gespeicher- 45 thentifikation der Datenverarbeitungsemnchtung und 

ten Daten zu verhindem. ^ ''r^- c 1- h« «:i 

Diese Aufgabe wird bei dem erfindungsgemaBen . Fig. 3 em Ablaufdiagramm zur Erlauterung der Si- 

Verfahren dadurch geldst, daB vor der Aufnahme der cherung der Datenintegritat und DateMuAentmtat 

Obertragung von Daten eine gegenseitige Authentifika- Bei dem in Fig. 1 dargesteUten Ausfuhronpbei^^^^^ 

tion unter Verwendung von in jeweils emem Sicher- so ist ein Endgerat 1, das mit emer Chipkarte 2 betreibbar 

heitsmodul in der Datenverarbeitungseinrichtung und ist, an ein Telekommunikationsnetz 3 angescWossen. 

im Endgerat gespeichertenCodes erfolgt Das Endgerat 1 kann beispielsweise ein Kartentelefon 

Mit dem erfindungsgemaBen Verfahren wird sicher- oder eine Telefaxstation sein, die der Kunde nut emer 

eesteilt, daB ein Austausch von Daten nur zwischen der Chipkarte in Betrieb nimmt, worauf mit dem Endgerat 1 

berechtigten Datenverarbeitungseinrichtung und den 55 ttber das Telekommunikatoomnetz 3 nut beliebi^^^^ 

berechtigten Endgeraten stattfinden kami. Als Codes deren in der Zeichnung nicht dargesteUten Epdgemen- 

zur gegenseitigen Authentifikation kdnnen verstdiiede- Nachrichten ausgetauscht werden k6nnen.Es kormen 

n^ geelgnete Codes verwendet werden, vorzugsweise eine VielzaM von Kmenvarumten emgesemw^^^ 

ist iedoch bei dem erfindungsgemaBen Verfahren vor- beispielsweuie Telefonkarten. Buchungskarten, Koope- 

gesehen, daB die Codes jeweils Schiasselinnerhalb eines eo rationskarten,elektromscheGeldborsen. 

AteoSmus darstellen^ mit welchem dem Endgerat Bei der Benutzung des Endgerates 1 nut der Chipkar- 

b:S^^dS^1>at«iverarbeitungseinrichtung zugefuhrte te 2 entstehen sogenannte Nutzungsdaten. die gesichert 

Zuf^lsdaten verarbeitet werden, und daB das Ergebnis gespeichert werden mussen. Diese Daten enthalten bei- 

JjrV^aSiiSS?^^^^ spielsweiseTransaktionsdatensatze,diefuremespatere 

Sti^^gbr^ SSgeratruckQbertrag^^ 65 Abrechnungverwendetund dazuvonZeit zuZeit.be,- 
GemlKer wSe&^ des erfindungsgemaBen spielsweise alle 24 Stmiden, uber das Telekommunika- 

VeTfXens IstineSLngderzuflbertralen^^^ tionsnetz 3 zu einer Datenverarbeitungsemnchtung 4 
ten dadurch mSglich, daB die Daten bei der Entstehung. ubertragen werden. 
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Das Endgerat 1, beispielsweisl|^Kartentelefon, ist 
mit einem internen steckbaren Sicherheitsmodul 5 aus- 
gestattet und kann nur zusammen mit diesem aktiviert 
werdeiu Das Sicherheitsmodul enthalt im wesentlichen 
eirien nichtfluchtigen Speicher fHx die verSnderUchen 5 
Daten, einschlieBlich der Schlussel, En- und Ausgangs- 
schnittstellen und emen Mikrocomputer zur Anwen- 
dung von gespeicherten Algorithmen auf zugeffihrte 
Daten und zur Steuerung des Sicherheitsmoduls. 

Nach der InstaUation eines Eridgerates ist es erforder- 10 
lich, eine Verbindung mit der Datenverarbeitungsein- 
richtung 4 aufzunehmen, um das Endgerat 1 mit Pro- 
grammen lind den fOr den Betrieb erforderlichen Para- 
metem zu versorgen. Dabei werden alle sicherheitsrele- 
vanten Parameter im Sicherheitsmodul 5 gespeichert In 15 
dem dargestellten Beispiel handelt es sich dabei um ei- 
aen SchlQssel Kl zur Authentifikation des Endgerates, 
einen SchlQssel K2 zur Erzeugung eines Nachrichten- 
Authentifikations-Codes. Der Algorithmus f ist bei dem 
Ausfuhrungsbeispiel un Sicherheitsmodul fest gespei- 20 
chert, kann im Rahmen der Erfihdung jedoch auch ver- 
anderbar sein. 

In ahnlicher Weise ist in der Datenverarbeitungscin- 
richtung 4 ein Sicherheitsmodul 6 angeordnet, in wel- 
chem ebenf alls Parameter und Algorithmen gespeichert 25 
sind. 

Nach der beschriebenen Installation des Endgerates 
kann es benutzt werden. Dabei entstehen die oben er- 
wahnten Nutzungsdaten, die gesichert gespeichert .wer- 
den. Dazu werden geeignete Zahler im Sicherheitsmo- 30 
dul 5 inkrementiert und Datensatze im Endgerat 1 gebil- 
det Diese Datensatze werden mit einem MAC verse- 
hen, um Manipulation zu erkennen. Nach einem vorge- 
gebenen Zeitraum, beispielsweise nach 24 Stunden, er- 
folgt ein Datenaustausch mit der Datehverarbeitungs- 35 
einrichtung4. . 

Fig. 2 zeigt die nach einem an sich bekannten Verf ah- 
ren erfolgende Authentifikation des Endgerates 1 ,und 
der Datenverarbeitungseinrichtung 4. Dazu wird zu- 
nachst im Sicherheitsmodul 6 der Datenverarbeitimgs- 40 
einrichtung 4 bei 11 eine Zuf allszahl RAND erzeugt und 
uber die Datenverarbeitungseinrichtung 4, das Tele- 
kommimikationsnetz 3 und das Endgerat 1 dem Sicher- 
heitsmodul 5 des Endgerateis zugefOhrt Dprt wird an- 
hand des gespeicherten Schlussels Kl und des Algorith- 45 
mus fKi ein Authentifikationsparameter AP2 berechnet 
(12X der wieder an das Sicherheitsmodul 6 ubertragen 
wird. Parallel dazu wird im Sicherheitsmodul 6 mit der 
gleichen Zufallszahl und dem gleichen Algorithmus fKi 
ein Authentifikationsparameter API berechnet (13). 50 
Beide Authentifikationsparameter werden danri vergli- 
chen (14). Bei Gleichheit ist das Endgerat 1 authentifi- 
ziert, bei Ungleichheit nicht Em entsprechendes Ver- 
fahren mit den Schritten 15 bis 18 lauft dann in der' 
Gegehrichtung ab und fuhrt dazu, daB zutreffendenfalls 55 
dem Endgerat die Echtheit der Datenverarbeitungsein- 
richtung 4 bekannt wird 

Die Authentizitat imd die Integritat der gespeicher- 
ten und zu fibertragenden Daten werden gemaB Fig- 3 
uberprOf t Sowohl im Sicherheitsmodul 5 als auch im eo 
Sicherheitsmodul 6 ist ein Schllissel K2 abgeiegt Dem 
' Sicherheitsmodul 5 wird der zu speichernde und spiter 
zu ubermittelnde Datensatz (Nachricht M) mit der Ent- 
stehung 21 im Endgerat 1 zugefiihrt und bei 22 mit dem 
Algorithmus f mit dem Schlussel IC2 zu einem Nachrich- 55 
ten-Authentifikations-Cpde MAC verarbeitet, der zu- 
sammen mit dem Datensatz M bei 23 im Endgerat I 
gespeichert wird Gleichzeitig wird im Sicherheitsmodul 



5 ein Zahler 24 mkrei^^Prt. Nach entsprechend haufi- 
ger Benutzung des Eno^ates 1 befindeh sich im^ Spei- 
cher des Endgerates n Datensatze. AuDerdem weist der 
zahler 24 den Zahlerstand n auf. 

Zur Abfrage der Datensatze aus dem Speicher des 
Endgerates 1 wahlt die Datenverarbeitungseinrichtung 
4 das Endgerat 1 an, worauf eine Authentifikation ge- 
maB Fig. 2 erfolgt Ist diese erfolgreich abgeschlossen, 
werden die bei 23 im Endgerat 1 gespeicherten Daten- 
satze einschlieBlich der MACs und der Zahlerstand des 
Zahlers 24 zur Datenverarbeitungseinrichtung 4 ilber- 
tragen. Jeweils ein empfangener Datensatz M* und der 
dazugehorige MAC* werden in das Sicherheitsmodul 6 
bei 25 eingegeben. Bei 27 wird unter Verwendung des 
Algorithmus fia aus dem empfangenen Datensatz M* 
ein Nachrichten-Authentifikations-Code MAC** abge- 
leitet Dieser wird bei 27 mit dem empfangenen MAC* 
verglichen. Bei Gleichheit steht fest, daB die bei der 
Benutzung des Endgerates entstandenen Datensatze 
weder im Speicher des Endgerates noch bei der Ober- 
tragung bis zur Datenverarbeitungseinrichtung veran- 
dertwurden. 

Befan Empfang der Datensatze bzw. bei deren Ein- 
schreiben in das Sicherheitsmodul 6 werden die Daten- 
satze gezahlt Dure Anzahl n* wird dann zusammen nut ' 
dem ilbertragenen Zahlerstand n bei 28 in das Sicher- 
heitsmodul eingelesen und bei 29 verglichen. Bei Gleich- 
heit steht fest, daB keiner der bei der Benutzung des 
Endgerates 1 entstandenen Datensatze geloscht oder 
dupli^ert worden ist Der Zahlerstand n kann auch 
durch einen MAC gesichert abertragen werden. 

PatentansprQche 

1. Verfahren zur Sicherung von Daten im Verkehr 
zwischen einer Datenverarbeitungseinrichtung und 
einem Endgerat, die miteinander uber ein Telekom- 
munikationsnetz verbunden sind, dadurch gekenn- 
zeichnet* daB vor der Aufnahme der Obertragung 
von Daten eine gegenseitige Authentifikation unter 
Verwendung von tn jeweils einem Sicherheitsmo: 
dul in der Datenverarbeitimgseinrichtung und un 
Endgerat gespeicherten Codes erfolgt 

2. Verfahren nach Anspruch I, dadurch gekenn- 
zeichnet, daB die Codes jeweils SchlGssel innerhalb 
eines Algorithmus darstellen, mit welchem dem 
Endgerat bzw. der Datenverarbeitungseinrichtung 
zugefuhrte Zufallsdaten verarbeitet werden, und 
daB das Ergebnis der Verarbeitung jeweils zur Da- 

' tenverarbeitungseinrichtuiig bzw. zum Endgerat 
rOckiibertragen wird. 

3. Verfahren nach einem der AnspfQche 1 oder 2, 
dadurch gekennzeichnet, daB die Daten bei der 
Entstehung, Speicherung im Endgerat und Ober- 
tragung durch Nachrichten-Authentifikations-Co- 
des (MAC) mit Hilfe von in den jeweiligen Sicher- 
heitsmodulen abgelegten Algorithmen und Schliis- 
seln integritatsgesichert werden. 

4. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daB Zahler in den Sicherheitsmoduleri ge- 
sichert gefilhrt werden, die eine zusateliche Kon- 
trolle der durch die Nachrichten-Authentifikations- 
Codes gesicherten Daten ergeben. 

5. Anordnung zur Sicherung von Daten im Verkehr 
zwischen einer Datenverarbeitungseinrichtung und 
einem Endgerat die miteinander uber ein Telekom-, 
munikationsnetz verbunden sind, dadurch gekenn- 
zeichnet, daB in der Datenverarbeitungseinrich- 
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tung (4) und im Endgera^Picherheitsmodule (6, 

4) vorgesehen siiii in welcBSn Codes ziir gegensei- 

tigenAuthentifikationablegbarsind. 

6. Anordnung nach Anspnich 5, dadurch gekenn- 

zeichnet. daB in den Sicherheitsmodulen (6, 4) fer- 5 

ner Codes zur Sicherung der Integritat und Au- 

thentizitat der zu Qbertragenden Datcn ablegbar 

7?Anordnung nach einem der Anspruche 5 oder 6, 
dadurch gekennzeichnet. daB die Sicherheitsmodu- 10 
le(6,4)femladbarausgebildetsind ^ ^ . . - 
8. Anordnung nach einem der Ansprflche 5 bis 7, 
dadurch gekennzeichnet, daB als Sicherhettsmodu- 
le Chipkarten m Form von Einschubmodulen vor- 

gesehen sind. - u c u- q 

9 Anordnung nach einem der Anspruche 5 bis ^ 
dadurch gekennzeichnet, daB das Endgerat (1) ein 
Kartentelefonist 
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AP1 = f^i (RAND) 
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API = AP2 ? 
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AP2 = f K, (RAND) 
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AP2 = fKi (RAND) 
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API = f Kr (RAND) 
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API = AP2 ? 
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Ml. MAC 1 
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M *, MAC * 
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MAC** = f K2 (M*) 
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MAC** = MAC*? 
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MAC = ( M ) 
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